Als je aan Europese klanten verkoopt en WhatsApp gebruikt om hen te benaderen, dan is het juridische speelveld waarop je opereert complexer dan wat e-mail- of sms-marketing vereist. WhatsApp is eigendom van Meta, draait op infrastructuur die gegevens over verschillende rechtsgebieden verwerkt, en is onderwerp geweest van belangrijke handhavingsacties onder de GDPR, waaronder een boete van €225 miljoen van de Ierse Data Protection Commission in 2021 tegen WhatsApp zelf.

Dat is geen reden om WhatsApp te vermijden. WhatsApp-marketing is volledig in overeenstemming met de GDPR wanneer het correct wordt uitgevoerd, en merken zoals Takko Fashion, KLM en SNOCKS voeren al jaren geavanceerde WhatsApp-programma's uit in de EU zonder juridische incidenten. Maar "correct uitgevoerd" vereist meer dan de losse opt-in die volstaat voor sms. Deze post legt uit wat de GDPR daadwerkelijk vereist voor WhatsApp-marketing, wat er in 2026 veranderde met de Digital Services Act en de Digital Markets Act, en hoe je een programma opzet dat een audit doorstaat.

Een standaard disclaimer: dit is geen juridisch advies. Voor bindend advies over jouw specifieke situatie, raadpleeg een privacyjurist in jouw rechtsgebied. Wat volgt is een praktische, eenvoudig geformuleerde samenvatting van waar de regels zich bevinden per mei 2026.

De compliance-stack in drie lagen

WhatsApp-marketing in de EU zit binnen een regelgevend kader met drie lagen, en je moet aan alle drie voldoen.

De eerste laag is de General Data Protection Regulation (GDPR), die de verwerking van persoonsgegevens van EU-inwoners regelt, ongeacht waar je bedrijf gevestigd is. Voor WhatsApp gaan de relevante artikelen over de rechtsgrond voor verwerking (Artikel 6), specifieke toestemmingsvereisten (Artikel 7), rechten van betrokkenen (Artikelen 15 tot 22), en de verplichting om een Verwerkersovereenkomst af te sluiten met elke verwerker die namens jou EU-gegevens verwerkt (Artikel 28).

De tweede laag is de ePrivacy-richtlijn, die bovenop de GDPR kanaalspecifieke vereisten toevoegt voor berichtenverkeer. ePrivacy vereist doorgaans uitdrukkelijke voorafgaande toestemming voor ongevraagde elektronische communicatie, met een beperkte soft opt-in-uitzondering voor bestaande klantrelaties. Nationale implementaties verschillen aanzienlijk tussen lidstaten.

De derde laag, aangescherpt in 2024 en 2026, is de Digital Services Act (DSA) en Digital Markets Act (DMA). De DMA wees WhatsApp in 2023 aan als een "gatekeeper"-platform, wat interoperabiliteitsvereisten en verplichtingen rond contentmoderatie in gang zette. De DSA voegde risicoanalyse- en transparantievereisten toe voor zeer grote online platforms. Voor de meeste Shopify-verkopers is de praktische impact van DSA en DMA in 2026 beperkt, maar de richting is meer compliance, niet minder.

Welke versie van WhatsApp is GDPR-conform voor zakelijk gebruik

Niet alle drie de varianten van WhatsApp zijn even conform. Weten welke je gebruikt is de eerste compliancevraag.

De persoonlijke WhatsApp-app is niet GDPR-conform voor zakelijke communicatie. Ze uploadt automatisch contactlijsten naar Meta, verwerkt metadata op manieren die herhaaldelijk tot handhavend optreden hebben geleid, en biedt geen Verwerkersovereenkomst. Als je verkoopteam persoonlijke WhatsApp op hun telefoon gebruikt om met klanten over bestellingen te praten, loop je risico.

De gratis WhatsApp Business-app zit in een grijze zone. Ze uploadt contactlijsten niet automatisch, maar gebruikt dezelfde onderliggende infrastructuur als persoonlijke WhatsApp en mist betekenisvolle toegangscontroles. Sommige juridische experts vinden haar in grote lijnen aanvaardbaar voor heel kleine ondernemingen; anderen zien haar als risicovol voor elk bedrijf dat relevante klantgegevens verwerkt. De veiligste lezing is dat de gratis Business-app niet geschikt is voor bedrijven die onder de GDPR vallen als er ook maar enige relevante klantdata doorheen loopt.

Het WhatsApp Business Platform (Cloud API), wanneer je erop toegang krijgt via een Business Solution Provider die een Verwerkersovereenkomst met jou afsluit, is de versie die GDPR-conform kan worden gebruikt. Dit is de enige versie met de audittrail, opt-inbeheer, verwijdermechanismen voor data en contractuele structuur die de GDPR vereist.

Dus het fundamentele antwoord op "is mijn WhatsApp-marketing GDPR-conform" is: alleen als je op de Cloud API zit, alleen als je BSP je een Verwerkersovereenkomst geeft, en alleen als je opt-inflow en gegevensverwerking correct zijn opgebouwd.

Wat geldt als geldige GDPR-toestemming voor WhatsApp

Artikel 7 van de GDPR legt de lat hoog voor toestemming. Die moet vrij gegeven, specifiek, geïnformeerd en ondubbelzinnig zijn. Toestemming verkregen via een vooraf aangevinkte checkbox, een gebundelde overeenkomst of een vage verwijzing voldoet niet aan de norm. Voor WhatsApp specifiek moet de toestemming gekoppeld zijn aan het kanaal: een klant die toestemming gaf om je e-mailnieuwsbrief te ontvangen, heeft daarmee niet ingestemd met WhatsApp-marketing.

Het moment van toestemming verzamelen moet drie elementen bevatten. Ten eerste, een expliciete verklaring waar de gebruiker zich voor inschrijft ("marketingberichten ontvangen van [Merk] via WhatsApp"). Ten tweede, de identiteit van de verwerkingsverantwoordelijke (jouw merknaam, niet alleen "wij"). Ten derde, een beschrijving van het soort berichten en de geschatte frequentie ("productlanceringen, aankondigingen van solden en herbevoorrading, ongeveer twee tot vier berichten per maand").

Vooraf aangevinkte vakjes zijn niet toegestaan. WhatsApp-opt-in bundelen met de aanvaarding van de gebruiksvoorwaarden is niet toegestaan. Een algemene sms-opt-in geldt niet automatisch voor WhatsApp. Een vage bewering dat "door dit formulier in te dienen ga je akkoord met marketingcommunicatie te ontvangen" is niet specifiek genoeg.

De toestemming moet gedocumenteerd zijn. Je moet voor elke individuele abonnee kunnen aantonen wanneer die toestemming gaf, waarvoor precies, welke formulering die persoon zag, en via welk verzamelpunt. Als je BSP deze metadata niet opslaat, kun je toestemming in een audit niet bewijzen, en een niet-gedocumenteerde opt-in wordt behandeld alsof er geen opt-in is.

Single opt-in versus double opt-in: wat de wet eigenlijk zegt

Er bestaat veel verwarring over de vraag of double opt-in verplicht is onder de GDPR. Het strikte juridische antwoord is dat double opt-in niet expliciet vereist is door de GDPR, maar het wordt algemeen gezien als best practice omdat het gedocumenteerd bewijs van toestemming oplevert dat single opt-in niet biedt.

Een single opt-in-flow ziet er zo uit: de klant vinkt bij het afrekenen een expliciete, niet-gebundelde WhatsApp-marketingtoestemming aan, jij logt de toestemming, en je kunt hen nu berichten sturen.

Een double opt-in-flow ziet er zo uit: de klant vinkt het toestemmingsvakje aan, je stuurt een enkel bevestigingsbericht naar hun WhatsApp-nummer met het verzoek om YES te antwoorden ter bevestiging, en pas nadat ze antwoorden voeg je hen toe aan de marketinglijst.

Double opt-in is om twee redenen de veiligere keuze. Ten eerste verifieert het onafhankelijk dat het telefoonnummer toebehoort aan de persoon die toestemming gaf. Zonder verificatie kan iedereen een telefoonnummer van iemand anders in je formulier invullen, waarna die persoon marketingberichten ontvangt zonder ooit toestemming te hebben gegeven. Ten tweede levert double opt-in een audittrail op die de bevestigende actie van de gebruiker op WhatsApp zelf omvat, wat het sterkst mogelijke bewijs is van kanaalspecifieke toestemming.

De merken die we in de EU netjes zien werken, gebruiken allemaal double opt-in. De merken die we klachten en waarschuwingen zien krijgen, zijn meestal degene die een telefonenlijst hebben geïmporteerd en later om vergiffenis vroegen.

De soft opt-in voor bestaande klanten

ePrivacy voorziet in een beperkte soft opt-in-uitzondering: een bedrijf mag een bestaande klant marketing sturen over gelijkaardige producten als die eerder gekocht werden, zonder expliciete voorafgaande toestemming, op voorwaarde dat de klant bij de verzameling en in elk volgend bericht een duidelijke mogelijkheid kreeg om zich uit te schrijven.

De soft opt-in is beperkter dan vaak wordt aangenomen. Ze geldt alleen voor bestaande klanten. Ze dekt alleen gelijkaardige producten. Ze vereist nog steeds een opt-outmechanisme. En nationale implementaties verschillen: Duitsland interpreteert haar nauw, het VK en Nederland soepeler.

Voor WhatsApp is ons praktische advies om niet op de soft opt-in te vertrouwen, tenzij je juridisch adviseur die expliciet heeft goedgekeurd voor jouw context. De marginale kost van een correcte double opt-in is klein. Het nadeel van fout te zitten over een soft opt-in-interpretatie is groot.

Verwerkersovereenkomsten met je BSP

Artikel 28 van de GDPR vereist dat er een Verwerkersovereenkomst bestaat met elke derde partij die persoonsgegevens namens jou verwerkt. Je WhatsApp BSP is zo'n derde partij. Als je geen DPA met hen hebt, ben je niet conform, ongeacht hoe goed je opt-inflow is.

Een DPA moet het doel en de duur van de verwerking specificeren, de categorieën van gegevens en betrokkenen, de beveiligingsmaatregelen die de verwerker zal toepassen, de subverwerkers die zij mogelijk gebruiken, de geografische locaties waar gegevens verwerkt kunnen worden, en de bijstand die de verwerker zal bieden bij verzoeken van betrokkenen en beveiligingsincidenten.

Drie zaken om specifiek te controleren in een BSP-DPA: ten eerste, waar worden de gegevens fysiek verwerkt en opgeslagen? EU-gehoste data is het eenvoudigste scenario. Gegevens gehost in derde landen (Hongkong, India, de Verenigde Staten buiten Privacy Shield-opvolgkaders) vereisen Standard Contractual Clauses en mogelijk een Transfer Impact Assessment. Ten tweede, wie zijn de subverwerkers? Meta zelf is een subverwerker voor elke WhatsApp BSP, en dat moet worden vermeld. Andere subverwerkers (cloudhosts, analyticsproviders) moeten eveneens opgelijst zijn. Ten derde, wat is de toezegging rond gegevensverwijdering wanneer je het contract beëindigt? Je hebt expliciete garantie nodig dat gegevens binnen een gedefinieerde termijn worden teruggegeven of vernietigd.

EU data residency: waarom het ertoe doet en waar de providers effectief zitten

De locatie waar je WhatsApp-gegevens worden verwerkt is een relevante compliancevraag die de meeste verkopers nooit aan hun provider stellen.

WATI is gevestigd in Hongkong. Hongkong is een derde land onder de GDPR. Gegevensoverdrachten naar de infrastructuur van WATI vereisen Standard Contractual Clauses en mogelijk een Transfer Impact Assessment die het juridische regime van Hongkong meeneemt. Zoko is gevestigd in India. Dezelfde derde-landenoverwegingen gelden. Dondy is wereldwijd actief zonder specifieke EU-residentieverbintenis in hun openbare materiaal. 360dialog is gevestigd in Berlijn en biedt EU-gegevenshosting aan. Dat is het meest heldere verhaal onder de grote BSP's vanuit residentieoogpunt, met de kanttekening dat 360dialog enkel API-infrastructuur levert en geen platform dat rechtstreeks voor de verkoper bedoeld is.

De veiligste opstelling voor een gereguleerde EU-verkoper is een BSP met EU data residency, een in de EU gevestigde functionaris voor gegevensbescherming, en een DPA die niet steunt op Standard Contractual Clauses naar een derde land.

De wijzigingen in 2026 die je moet kennen

Een paar specifieke ontwikkelingen hebben de complianceverwachtingen in 2026 aangescherpt.

In januari 2026 heeft Meta de WhatsApp Business Solution Terms aangepast om algemene AI-chatbots op het Platform te verbieden. Dit heeft GDPR-implicaties omdat AI-verwerking van persoonsgegevens zonder expliciete toestemming voor AI-specifiek gebruik als bijkomende verwerking kan gelden waarvoor extra toestemming nodig is. Taakspecifieke bots die binnen je bedrijfscontext blijven zijn eenvoudiger te verdedigen. Open-ended LLM-wrappers zijn dat niet.

Onder de Digital Services Act is WhatsApp nu onderworpen aan transparantievereisten rond contentmoderatie, en bedrijven die op het platform opereren moeten risicobeheerprocedures implementeren als ze kwalificeren als deelnemers op een Very Large Online Platform.

Onder de Digital Markets Act zijn de interoperabiliteitsverplichtingen voor WhatsApp geleidelijk uitgerold sinds 2024. Klanten kunnen je berichten sturen via messenger-apps van derden onder DMA-conforme interoperabiliteitsbepalingen. End-to-end encryptie blijft behouden voor persoonlijke berichten tussen individuen, maar de overdracht van encryptie naar apps van derden introduceert dreigingsmodellen die je gegevensbeschermingsbeleid mogelijk moet erkennen.

De Amerikaanse marketingpauze van april 2025 heeft ook een GDPR-aanverwante impact voor EU-merken die aan Amerikaanse klanten verkopen. Als je ooit een Amerikaans +1-nummer hebt bericht, vallen die interacties nu onder een ander beleidsregime dan je EU-berichten.

Een GDPR-checklist met 12 punten voor je WhatsApp-programma

Gebruik dit als checklist vóór lancering en voor je driemaandelijkse audit van je WhatsApp-marketingopzet.

1. Je werkt via het WhatsApp Business Platform (Cloud API) via een BSP, niet via de persoonlijke app of de gratis Business-app, voor elke betekenisvolle klantcommunicatie.

2. Je hebt een DPA ondertekend met je BSP waarin subverwerkers worden genoemd, de datalocatie wordt gespecificeerd en een verwijderingstermijn wordt vastgelegd.

3. Elke WhatsApp-marketingopt-in wordt verzameld via een expliciete, niet-gebundelde, kanaalspecifieke toestemmingshandeling met gedocumenteerde formulering.

4. Elke toestemming wordt gelogd met tijdstempel, bron, getoonde tekst en IP-adres (of gelijkwaardig), en het logboek is exporteerbaar.

5. Je gebruikt double opt-in voor nieuwe abonnees, waarbij het bevestigingsbericht en het antwoord worden opgeslagen als onderdeel van het toestemmingsdossier.

6. Elk WhatsApp-marketingbericht bevat een duidelijke, eenvoudige uitschrijfmogelijkheid in taal die de ontvanger begrijpt.

7. Uitschrijvingsverzoeken worden binnen 24 uur nageleefd en het contact wordt uit alle marketingsegmenten verwijderd, niet alleen gepauzeerd.

8. Je privacybeleid verwijst expliciet naar WhatsApp als marketingkanaal, noemt je BSP en beschrijft de datastromen.

9. Verzoeken van betrokkenen tot inzage kunnen voor WhatsApp-gegevens binnen 30 dagen beantwoord worden en je BSP ondersteunt dit.

10. Verzoeken van betrokkenen tot gegevenswissing leiden tot effectieve verwijdering in je CRM, je BSP-platform en je berichtarchieven.

11. Je AI-assistent op WhatsApp is taakspecifiek voor je bedrijfscontext, heeft expliciet weigergedrag voor prompts buiten het onderwerp en vormt geen bijkomende AI-verwerking waarvoor afzonderlijke toestemming nodig is.

12. Je bewaart WhatsApp-berichten alleen zolang dat vereist is door je vastgelegde bewaartermijn, die gedocumenteerd is en niet oneindig lang is.

Als je niet overal ja op kunt antwoorden, heb je specifiek werk te doen. De meest voorkomende hiaten die we op de EU-markt zien, zijn ontbrekende DPA's, niet-gedocumenteerde opt-intrails en het gebruik van persoonlijke WhatsApp door verkoopteams.

Veelgestelde vragen

Heb ik aparte toestemming nodig voor WhatsApp-marketing als ik al e-mailtoestemming heb?

Ja. ePrivacy en GDPR behandelen toestemming als kanaalspecifiek. Een gebruiker die akkoord ging met je e-mailnieuwsbrief heeft niet ingestemd met WhatsApp-berichten.

Kan ik een telefoonnummer van een Shopify-bestelling gebruiken om WhatsApp-marketing te sturen?

Nee, niet zonder expliciete WhatsApp-marketingtoestemming. Het telefoonnummer werd verstrekt voor orderafhandeling op basis van een andere rechtsgrond (uitvoering van de overeenkomst, Artikel 6(1)(b)).

Wat is de maximale boete voor een WhatsApp-GDPR-overtreding?

De algemene GDPR-maximumbeboete is het hoogste van €20 miljoen of 4 procent van de wereldwijde jaaromzet. In de praktijk lagen boetes voor WhatsApp-gerelateerde problemen voor een bedrijf van Shopify-formaat in de vork van €5.000 tot €500.000.

Is end-to-end encryptie van WhatsApp voldoende voor GDPR?

Encryptie helpt, maar volstaat op zichzelf niet voor GDPR. GDPR vereist bovenop beveiligingsmaatregelen zoals encryptie ook een rechtsgrond, toestemmingsbeheer, rechten van betrokkenen, audittrails en DPA's.

Kan ik WhatsApp-marketing sturen naar klanten in de VS onder GDPR?

GDPR is van toepassing op EU-inwoners. Als een klant zich in de VS bevindt, is GDPR niet rechtstreeks van toepassing, maar kunnen Amerikaanse staatswetten (CCPA in Californië, gelijkaardige wetten in Virginia, Colorado, Connecticut, Utah) wel van toepassing zijn. Let er ook op dat sinds 1 april 2025 marketingtemplates naar +1-telefoonnummers door Meta worden gepauzeerd en niet afleveren.

Mijn BSP zegt dat ze GDPR-conform zijn. Betekent dat dat ik conform ben?

Nee. Het feit dat je BSP conform is, is noodzakelijk maar niet voldoende. Jij bent de verwerkingsverantwoordelijke en jij bent verantwoordelijk voor de rechtsgrond, het verzamelen van toestemming, de opt-outmechanismen en de afhandeling van de rechten van betrokkenen aan jouw kant.

Heb ik een Functionaris voor Gegevensbescherming nodig voor mijn Shopify WhatsApp-programma?

Een DPO is verplicht onder Artikel 37 van de GDPR als je kernactiviteiten grootschalige, systematische monitoring van personen of grootschalige verwerking van bijzondere categorieën van gegevens omvatten. De meeste Shopify-webshops halen deze drempel niet met hun WhatsApp-programma alleen.